|
ชื่อ :
W32.Myparty@mm
ค้นพบเมื่อ : 28 มกราคม 2545
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : n/a
ระดับความรุนแรง : ปานกลาง
ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32.Myparty@mm ถูกพัฒนาขึ้นโดยภาษา C++ แพร่กระจายโดยอาศัยที่อยู่ของจดหมายจาก
Windows Address Book ในเครื่องเป้าหมาย
จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้
นอกจากนี้หัวข้อจดหมายถูกทำให้มีความน่าเชื่อถือสูงมีชื่อเรื่องดังต่อไปนี้
Subject: new
photos from my party!
Body:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Attachement:
www.myparty.yahoo.com
วิธีป้องกันตัวเองจากไวรัส
- ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
- ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่
โดยเฉพาะไฟล์ www.myparty.yahoo.com
โดยเด็ดขาด นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif,
.com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
- ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
ความเสียหายต่อระบบ
หนอนจะทำงานโดยการที่ผู้ใช้คลิกไฟล์ที่แนบมา โดยการเข้าใจผิดคิดว่าเป็น
link สำหรับการดูข้อมูลผ่านอินเทอร์เน็ต และหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่
Windows Address Book ที่ใช้งานโดยโปรแกรม Microsoft Outlook Express
และสามารถค้นหาไฟล์ที่มีส่วนขยาย .DBX ซึ่งเก็บที่อยู่ไว้ในไดเรกทรอรี่
Inbox ของโปรแกรม Microsoft Outlook Express
นอกจากนี้มันยังส่งจดหมายไปยังผู้ที่สร้างหนอนนี้ขึ้นมา
ซึ่งทำให้ผู้สร้างทราบถึงการกระจายตัวของหนอนนี้ได
บน Windows NT/2000/XP ตัวหนอนจะสร้างโทรจันไว้ในระบบ
เพื่ออนุญาตให้แฮ็คเกอร์สามารถควบคุมระบบได้ โดยซอฟแวร์ป้องกันไวรัสสามารถตรวจสอบโทรจันชนิดนี้ได้
รายละเอียดทางเทคนิค
เมื่อไฟล์ .com
ถูกรัน
- Windows 9x/Me
- หากพบว่าวันที่ปัจจุบันอยู่ระหว่าง
25 -29 มกราคม 2545 มันจะคัดลอกตัวเองไปยัง C:\Recycled\regctrl.exe
และรันไฟล์ดังกล่าว
- Windows NT/2000/XP
- หากพบว่าวันที่ปัจจุบันไม่อยู่ระหว่าง
25 -29 มกราคม 2545 มันจะคัดลอกตัวเองไปยัง
C:\Recycled-F-<random
digits>-<random digits>-<random digits>
โดยไม่มีนามสกุล
- หากพบว่าวันที่ปัจจุบันอยู่ระหว่าง
25 -29 มกราคม 2545 มันจะคัดลอกตัวเองไปยัง C:\regctrl.exe และรันไฟล์ดังกล่าว
หมายเหตุ ไฟล์
regctrl.exe นี้จะสามารถเห็นได้จาก DOS prompt เท่านั้นจะไม่สามารถมองเห็นโดยวินโดว์
เมื่อไฟล์ .exe ถูกรัน
เช่น Regctrl.exe ตัวหนอนจะเริ่มกระบวนการกระจายตัวดังนี้
- มันจะค้นหา Windows address book ที่ใช้โดย Microsoft
Outlook และ Outlook Express รวมทั้งค้นหาไฟล์ .dbx ใน Microsoft
Outlook Express folder เพื่อหารายชื่ออี-เมล์
- มันจะส่งอี-เมล์ออกไปยังรายชื่ออี-เมล์ที่ได้รับมา
โดยใช้ SMTP จาก HKEY_CURRENT_USER\Software\Microsoft\Internet
Account Manager\Accounts\00000001 และในส่วน From: ก็จะใช้เป็นชื่ออี-เมล์ของผู้ใช้เครื่องดังกล่าว
- สำหรับ Windows NT/2000/XP
ตัวหนอนจะสร้างไฟล์โทรจันชื่อ MSSTASK.EXE ไว้ใน
%Windows%\Start Menu\Programs\Startup\msstask.exe
ดังนั้นเมื่อรีสตาร์ทวินโดวส์ใหม่ไฟล์ดังกล่าวจะถูกรัน
ซึ่งมันจะเรียกไปยังเว็บเพจที่ 209.151.250.170 ซึ่งจะทำให้ผู้ที่สร้างหนอนร้ายนี้ขึ้นมาสามารถเข้ามาควบคุมเครื่องนี้ได้
ซึ่งสิ่งที่ backdoor trojan นี้จะกระทำก็ขึ้นอยู่กับเนื้อหาในเว็บเพจนั้น
วิธีการแก้ไข
การกำจัดหนอนทำได้โดยการสเกนโดยโปรแกรมป้องกันไวรัส
คำแนะนำในการกำจัด
ในกรณีที่ใช้โปรแกรมป้องกันไวรัส ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด
และสแกนทั้งระบบ หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที
ในการกำจัดหนอน Myparty มีความจำเป็นต้องหยุดกระบวนการทำงานของหนอนตัวนี้
ก่อนการกำจัด เนื่องจากในขณะที่หนอนทำงานอยู่ในระบบนั้น โปรแกรมตรวจจับจะไม่สามารถตรวจจับ
และลบไฟล์ ที่ติดหนอนร้ายตัวนี้ได้ และในบางระบบปฏิบัติการหากมีการลบไฟล์ที่ติดหนอนร้ายออกไปแล้ว
ไฟล์เหล่านั้นอาจใช้การไม่ได้ จึงจำเป็นต้องติดตั้งไฟล์ที่ลบออก โดยการติดตั้งไฟล์จากแผ่นติดตั้งของระบบปฏิบัติการที่ใช้งาน
- การกำจัดโดย Fix tool
ดาวน์โหลดเครื่องมือในการกำจัดหนอนร้ายตัวนี้ได้จาก Trend
Micro
หมายเหตุ: การใช้งาน Fix tool ตัวนี้กรุณาอ่านเอกสารแนะนำก่อนเสมอเนื่องจากอาจทำให้ไฟล์ที่ติดหนอนร้ายไม่สามารถทำงานได้ตามปกติ
จึงควรติดตั้งไฟล์เหล่านั้นใหม่หลังจากการใช้เครื่องมือตัวนี้
- การกำจัดด้วยตนเอง
- สำหรับระบบปฏิบัติการวินโดว์ 9X หรือ ME ให้ทำการ
Reboot ระบบเข้าสู่ Safe Mode
- สำหรับระบบปฏิบัติการวินโดว์ NT/2000/XP ให้หยุดการทำงานของ
Msstask.exe ดังนี้
- .กด Ctrl+Alt+Delete
- คลิก Task Manager
- คลิกเลือก Processes tab
- คลิกที่ตำแหน่ง "Image Name"
สองครั้งเพื่อจัดเรียงลำดับ process ตามตัวอักษร
- ค้นหา process ชื่อ Msstask.exe
หมายเหตุ: ควรตรวจสอบไฟล์ Msstask.exe ให้ถูกต้อง
เนื่องจากไฟล์หนอนร้ายตัวนี้จะมีตัวอักษร s จำนวนสองตัวในชื่อไฟล์
สำหรับอีกไฟล์ที่คล้ายคลึงกันจะมีตัวอักษร s เพียงตัวเดียวจะเป็นไฟล์ระบบของวินโดว์
หากหยุดการทำงานของ Process นี้เครื่องจะทำการ shut down
- หากพบว่า process กำลังทำงานให้เลือก End
process
- ปิดโปรแกรม Task Manager
- ให้ทำการ สแกนไวรัสด้วยโปรแกรมที่ติดตั้งในระบบของท่าน
- ลบไฟล์ทุกไฟล์ที่ติดไวรัส W32.Myparty@mm หรือ
Backdoor.Myparty
คำแนะนำเพิ่มเติมสำหรับวินโดว์ ME
ข้อสังเกต : วินโดว์ ME จะมีการสำรองข้อมูลโดยอัตโนมัติ โดยโปรแกรม
backup utility ซึ่งโปรแกรมตัวนี้จะสำเนาไฟล์เก็บโดยอัตโนมัติ ในโฟลเดอร์
C:\_Restore ซึ่งไฟล์ที่ติดหนอนร้ายมาจะสามารถถูกเก็บในไดเรกทรอรี่นี้ได้เช่นกัน
และบางครั้งโปรแกรมป้องกันไวรัสจะไม่สามารถลบหรือกำจัด หรือซ่อมแซมไฟล์ได้ในโฟลเดอร์
วิธีการยกเลิกการใช้โปรแกรมเรียกคืนข้อมูล
- คลิกขวาที่ไอคอน My Computer บนเดสก์ทอป
- เลือก Performance Tab
- คลิกปุ่ม File System
- คลิก Troubleshooting Tab
- ทำเครื่องหมายที่กล่องหน้าช่อง "Disable System
Restore".
- คลิกปุ่ม Apply
- คลิกปุ่ม Close
- คลิกปุ่ม Close อีกครั้งหนึ่ง
- ตอบตกลงในการบูตระบบใหม่
หมายเหตุ : เมื่อถึงขั้นตอนนี้ Restore Utility จะถูกยกเลิก
- เริ่มต้นระบบอีกครั้งใน Safe Mode.
- รันโปรแกรมป้องกันไวรัส และลบไฟล์ของหนอนร้ายออกจาก
โฟล์เดอร์ C:\_Restore
- .เริ่มต้นระบบใหม่อีกครั้งตามปกติ
หมายเหตุ : หากต้องการเปิดการทำงานของ Restore
Utility ทำซ้ำตามขั้นตอนที่ 1-9 อีกครั้งและที่ขั้นตอนที่ 5 เอาเครื่องหมายหน้ากล่อง
"Disable System Restore" ออก
ข้อมูลอ้างอิง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น
และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***
เผยแพร่โดย
ThaiCERT เมื่อ 28
มกราคม 2545 18.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 4
กุมภาพันธ์ 2545 17.00
|
